Отраслевые особенности категорирования КИИ

Защита объектов КИИ — первостепенная задача для обеспечения безопасности государства. Важным механизмом выступает процесс категорирования, позволяющий определить категорию значимости конкретных объектов. При этом необходимо учитывать отраслевые особенности, так как объекты связи, энергетики, транспорта или здравоохранения имеют различные риски и последствия при нарушении их работы. В связи с этим с 1 сентября 2025 года вступили в силу изменения в Федеральный закон № 187-ФЗ:

• категорирование осуществляется с учётом перечней типовых отраслевых объектов КИИ и отраслевых особенностей, утверждаемых Правительством РФ (ст. 7, ч. 4). На данный момент перечни и особенности находятся в стадии проектов, поэтому при анализе используются их действующие версии;
  
• индивидуальные предприниматели более не могут являться субъектами КИИ (ст. 2, п. 8);
  
• на ЗОКИИ допускается применение только программного обеспечения из Единого реестра российского ПО. Порядок и сроки перехода на отечественное ПО также устанавливаются Правительством РФ.
  

Таким образом, в 2025 году к процессу категорирования и обеспечению безопасности КИИ предъявляются обновлённые требования, требующие от субъектов КИИ учёта отраслевой специфики, корректного выбора ПО и строгого следования нормативной базе.

Общих методик в категорировании объектов КИИ недостаточно. Нужно принять во внимание автоматизированные системы управления технологическими процессами (АСУТП), телеметрии, диспетчеризации, объекты выработки и распределения энергии.

Исходя из этого, на рассмотрении находится проект от 11.06.2025 г. «Об утверждении отраслевых особенностей категорирования объектов КИИ в сферах ТЭК и энергетики» , его ключевое отличие от методических рекомендаций по определению и категорированию ОКИИ ТЭК от 26.08.2019 г. состоит в переводе отраслевых подходов из методических рекомендаций в формат нормативно-правового акта, обязательного к исполнению.

Основные рекомендации проекта:

• ИС, участвующие в процессе производства, передачи и распределении электроэнергии, попадают под обязательный учет. Сюда также входят диспетчерские центры, центры обработки данных и АСУТП.
  
• Категория значимости устанавливается на основании возможного ущерба, а также с учетом установленной мощности, географического покрытия, роли в обеспечении безопасности страны и обороноспособности.
  
• Учитываются последствия для компаний, а также неблагоприятные последствия на отрасли смежного характера, например, транспорт, связь, ЖКХ.
  

Нарушение работы объектов КИИ в медицинской сфере может угрожать не только утечкой персональных данных, но и нести прямую угрозу человеческой жизни и здоровью.

ИС здравоохранения интегрируются с другими гос. системами, как ФНС и МВД, поэтому сбой в работе в любой из систем может понести цепную реакцию.

В данный момент на рассмотрении находится проект «Об утверждении отраслевых особенностей категорирования объектов КИИ в сфере здравоохранения» . Так как отраслевые особенности пока не утверждены на уровне нормативного правового акта, в работе следует опираться на методические рекомендации по категорированию объектов КИИ сферы здравоохранения. Версия 1.0 от 5 апреля 2021 г.

• Ущерб инцидента оценивается не только в денежном эквиваленте, но и с оценкой вреда здоровью и жизни людей.
  
• Рекомендации распространяются на широкий круг организаций сферы здравоохранения, включая:

  — органы управления здравоохранением (федеральные, региональные, муниципальные);

  — медицинские организации (больницы, поликлиники, диспансеры, центры скорой помощи и др.);

  — специализированные центры и лаборатории (судебно-медицинские, санитарно-эпидемиологические, противочумные и др.);

  — фармацевтические организации и частные медучреждения.

• Оценка рисков в данной области обхватывает разные сферы, поэтому к процессу категорирования нужно привлекать специалистов ИБ, представителей главврача, IT-отдела и юристов.
  

Нарушения работы систем управления транспортной сферы приводят к огромным экономическим потерям и даже угрозе жизни граждан.

В связи с этим сейчас на рассмотрении находится проект «Об утверждении отраслевых особенностей категорирования объектов КИИ в сфере транспорта» обновленные требования учитывают комплексные последствия для всей транспортной сети региона или целой страны.

Основные особенности:

• При категорировании учитывается возможность нарушения графика движения, вероятности возникновения аварии, остановки транспортного потока.
  
• Учитывается влияние на смежные отрасли. Например, сбой в работе железнодорожной АСУ нарушает работу в промышленной или энергетической сфере.
  
• Под категорию КИИ попадают сторонние подрядчики, осуществляющие обслуживание цифровой инфраструктуры транспортной сферы. Например, разработчик ИС логистики.
  
• Проект вводит конкретные шкалы и правила, которых не было в таком виде в методических рекомендациях от 24.01.2024 г.
  

Нередко транспортные компании сталкиваются со сложностями оценки потенциального ущерба, а также отсутствием индивидуальных подходов в категорировании данной сферы. Напомним, что некорректное присвоение категории несет административную ответственность в случае возникновения инцидента или при выявлении в момент проверки.

Исходя из этого транспортным компаниям рекомендуется:

• Составить полный список ИС, определив их критические зависимости.
  
• Привлекать к процессу категорирования ИБ-специалистов, юристов и тех. Службу.
  
• Обращаться за консультацией во ФСТЭК.
  
• Реализовывать защитные мероприятия, исходя из категории объекта.
  

Сбой любой системы в финансовом секторе вызывает цепную реакцию и приводит к финансовым потерям.

Особенности:

• В связи с тем, что многие ИС в данном секторе работают автоматизировано и изолированно, нужно при проведении категорирования учитывать все зависящие компоненты и интерфейсы, внешние API и облачные решения.
  
• При оценке ущерба нужно подходить к вопросу комплексно. Важно учитывать не только прямые потери, но и косвенные: репутационный ущерб, потеря лояльности клиентов, потенциальные санкции регуляторов и повышение социальной напряженности.
  
• Организации обязаны осведомлять Банк России о выявлении объектов КИИ, согласовывать результаты проведенного категорирования.
  

Эта сфера является основой цифрового государства. Категорирование КИИ в данной области регулируется методическими указаниями от 04.04.2025 N АШ-7089вн. Рассмотрим особенности данной сферы.

Особенности:

• Один объект связи может обслуживать несколько миллионов граждан, в том числе военные и государственные структуры. Любой сбой оказывает существенное влияние на работу экстренных служб и приводит к огромным негативным последствиям.
  
• ИС в телекоммуникациях имеют сообщение со множеством сторонних инфраструктур. Сбой в одной точке может вызвать цепную реакцию. На основании этого к категорированию объектов КИИ в телекоммуникации предъявляются дополнительные требования.
  
• На категорию влияет не только масштаб объекта, но и его функции. Например, более локальные объекты могут получить высшую категории, если относятся к объектам обороны.
  
• Учитываются не только технологические потенциальные потери, но и репутационные риски, а также угрозы социальной стабильности и общественному порядку.
  
• При категорировании учитываются все социально значимые объекты, подключенные инфраструктуре телекоммуникационного объекта.
  
• Может потребоваться экспертиза соответствия требованиям защиты данных.
  

ИС объектов КИИ в промышленности часто взаимодействуют напрямую с физическим оборудованием, что формирует риски серьезных последствий в случае сбоев. В данный момент на рассмотрении находится проекты об утверждении отраслевых особенностей категорирования объектов КИИ в сферах: оборонной, ракетно-космической, металлургической, химической и горнодобывающей (в части руд, камней) промышленности. Ниже рассмотрим их общие особенности.

Особенности:

• Последствия сбоев могут нести техногенный характер.
  
• Помимо масштаба на присвоение категории влияет вид деятельности. Сюда относятся оборонное, химическое или атомное производство, что несет более критичный характер нежели, например, пищевое.
  
• Проводится оценка всей цепочки взаимодействия всех компонентов информационной инфраструктуры, начиная серверами, заканчивая контроллерами и датчиками.
  
• При категорировании моделируется потенциальный ущерб. Он способен нести экологически вред, угрозу для населения или простой на производстве.
  
• На больших предприятиях объект КИИ можно разделить на несколько отдельных сегментов. Каждый из них имеет различный уровень влияния и критичности. Оценку нужно проводить по каждому отдельному сегменту, а после – комплексно.
  

Важность отрасли обусловлена наличием огромных объемов конфиденциальной информации сотрудников и учащихся, обрабатываемых ИС. Регулируется эта сфера методическими рекомендациями по категорированию объектов КИИ, функционирующих в сфере науки от 21 февраля 2025 г.

Особенности:

• Система образования и НИИ обрабатывают персональные данные миллионов людей. Сюда входят не только персонал и учащиеся, но и родители, иностранные партнеры. Утечка данных несет огромные потери.
  
• Информация в секторе представляет стратегическую и коммерческую ценность. Утечка несет угрозу технологическому суверенитету страны и значительный экономический ущерб.
  
• Университеты и НИИ часто используют ИТ-инфраструктуру, включающую внешние сервисы и облачные решения коллективного пользования, что значительно усложняют процедуру присвоения категории объекту и делает защиту уязвимой.
  
• В отрасли возникает высокий уровень ошибок при категорировании из-за отсутствия компетентных ИБ-специалистов.
  

При проведении категорирования возникают проблемы различного характера. Мы составили список частых проблем и определили рекомендации по решению.

1. Проблема: У компаний с распределённой структурой нет актуальной информации об ИС и связях между ними (учёт ведётся разрозненно).

Решение: Провести полную инвентаризацию всех ИС и АСУ ТП, включая вспомогательные системы. Создать единый реестр для точного категорирования.

2. Проблема: Учитываются только финансовые потери, игнорируются социальные, экологические и межотраслевые последствия.

Решение: Анализировать все потенциальные риски, включая нефинансовые факторы, и оценивать возможный ущерб комплексно.

3. Проблема: В распределённых структурах сложно определить границы объекта категорирования.

Решение: Использовать сценарный подход, описывая логические и технологические связи между узлами.

4. Проблема: Отсутствие отраслевых методик в момент прохождения категорирования, из-за чего компании ориентировались на собственное усмотрение.

Решение: Опирайтесь на проекты отраслевых особенностей (например, для ТЭК), анализируйте открытые кейсы и консультируйтесь с уполномоченными органами.

5. Проблема: Формальный («для отчётности») подход к категорированию.

Решение: Избегать шаблонности — каждый объект нужно анализировать индивидуально, с учётом специфики и рисков.

6. Проблема: Ошибки при оценке влияния вспомогательных систем.

Решение: Анализировать влияние каждой ИС на общие процессы и учитывать её роль в устойчивости объекта.

7. Проблема: Низкая согласованность действий между подразделениями компании.

Решение: Формировать комиссию по категорированию с привлечением представителей всех профильных служб.